Advanced Security for Virtual Organisations: The Pros and ...
22
Advanced Security for Virtual Organisations: The Pros and Cons of Centralized vs Decentralized Security Models Seguran¸caAvan¸cadaparaOrganiza¸c˜ oes Virtuais: Os Pr´os e Contras dos Modelos de Seguran¸ca Centralizado e Descentralizados R. O. Sinnott, D. W. Chadwick, T. Doherty, D. Martin, A. Stell, G. Stewart, L. Su, J. Watt Eighth IEEE International Symposium on Cluster Computing and the Grid (CCGRID), 2008 Rubens Massayuki Suguimoto - Mestrado UFPR - 2009 Rubens Massayuki Suguimoto Universidade Federal do Paran´ a Advanced Security for Virtual Organisations
Transcript of Advanced Security for Virtual Organisations: The Pros and ...
Advanced Security for Virtual Organisations:The Pros and Cons of Centralized vs
Decentralized Security ModelsSeguranca Avancada para Organizacoes Virtuais:
Os Pros e Contras dos Modelos de SegurancaCentralizado e Descentralizados
R. O. Sinnott, D. W. Chadwick, T. Doherty, D. Martin, A.Stell, G. Stewart, L. Su, J. Watt
Eighth IEEE International Symposium on Cluster Computing and the Grid(CCGRID), 2008
Rubens Massayuki Suguimoto - Mestrado UFPR - 2009
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Grid Computing
I E uma analogia feita com redes eletricas
I Prove uma infraestrutura para supercomputacao ouprocessamento de alto desempenho
I Compartilhamento de recursos ociosos entre varias instituicoesde forma colaborativa.
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Organizacoes Virtuais
”A virtual organisation integrates services and resources acrossdistributed, heterogeneous, dynamic organisations to allow serviceand resource sharing when co-operating on the realisation of ajoint goal”. globus.org
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Controle de acesso aos recursos
I Senhas longas
I Public Key Infrastructure (PKI) - baseado em certificadosX.509 e Autoridade Certificadora
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Problema e/ou Motivacao
I Administracao de acesso muito precario (”acesso booleano”)
I Necessario maior granularidade de acesso
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Proposta de um novo controle de acesso
I Baseado em papeis (Role-Based Access Control ou RBAC)
I Considerada um metodo avancado de seguranca
I Os usuarios tem um papel dentro da grade
I Cada papel tem seus limites de acesso
I Existe granularidade de papeis
I Os administradores que definem a quantidades de papeis eseus respectivos limites
I Nao confundir com nıveis
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelos de seguranca
I Centralizado
I Descentralizado
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelo Centralizado
I Uma entidade gerencia todos os papeis
I Todas as VO utilizam-se dessa infraestrutura centralizada parabuscar informacoes sobre o papel de qualquer usuario
I Apos obter o papel, a polıtica da VO vai conferir se existepermissao para acessar o recurso desejado
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelo Centralizado - Pros
I Local fixo para localizar os papeis
I Administracao centralizada
I Flexibilidade
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelo Centralizado - Contras
I Ponto de falha
I Baixa tolerancia a falhas
I Problemas para administrar papeis de usuarios
I Problemas de escalabilidade (adicao de novos papeis)
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelo Descentralizado
I Cada VO possui sua polıtica de papeis
I Pode existir nıveis hierarquicos de papeis administrativosdentro de uma VO
I Pode existir um acordo para uma definicao de quais papeisexistir em toda a grade
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelo Descentralizado - Pros
I Granularidade de acesso
I Escalabilidade
I Seguranca ao associar papeis aos usuarios
I Maior tolerancia a falhas
I Nao e necessario criar novos papeis caso uma nova VO entrena grade
I Maior flexibilidade
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelo Descentralizado - Contras
I O usuario pode ter varios papeis diferentes dentro da grade
I Divulgacao e atribuicoes dos papeis que uma VO define
I O modelo em questao representa um novo paradigma parapesquisas e estudos na comunidade de grids
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Modelo Hıbrido
I Utilizar as vantagens do sistema de gerenciamento de papeiscentralizado com o controle de acesso granularizdo do modelodistribuıdo
I Uso de gerenciadores de papeis distribuıdos
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Implementacoes de ferramentas
I Virtual Organization Membership Service (VOMS)
I PrivilEge and Role Management Infrastructure StandardsValidation (PERMIS)
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Implementacoes de ferramentas - VOMS
I Baseado no modelo centralizado
I Usa o Local Centre Authorization Service (LCAS) e o LocalCredential Mapping Service(LCMAPS)
I Mapeia os papeis para grupos (gid), usuario (uid) e umconjunto de contas na maquina local
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Implementacoes de ferramentas - PERMIS
I Baseado no modelo distribuıdo
I Suporta maior granularidade de papeis que o VOMS
I Aplica algumas polıticas combinando papeis, alvos e acoes
I ”can this user with this role access this service and invoke thismethod?”
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Implementacao - Globus
I Globus Toolkit 4
I Usa o VOMS em conjunto com o Globus SecurityInfrastructure (GSI, baseado em PKI)
I Faz uso de interceptadores:I Policy Decisions Points (PDP)I Policy Information Points (PIP)I PERMIS Credential Validation Services (CVS)
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Implementacao - Globus - Imagem
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Casos de estudo
I Clinical Trials and Epidemological Domain
I nanoCMOS Eletronics Domain
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Conclusao
I Esquema de seguranca avancado para ser usados em Gridsbaseado em papeis
I Tanto o modelo centralizado quanto o descentralizado temsuas vantagens e desvantagens
I Existe uma implementacao hıbridacentralizado-descentralizado e foi implementado no GlobusToolkit 4
I Foi apresentados alguns casos de estudo onde esse modelopode ser aplicado
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
Crıticas
I Grid computing em atraso no Brasil
I Muitos dos artigos publicados tem ”implementacoes locais”
I Algumas informacoes nao sao acessıveis de forma trivial
Rubens Massayuki Suguimoto Universidade Federal do Parana
Advanced Security for Virtual Organisations
